¿Qué es un agente de seguridad de acceso a la nube (CASB)?

Si una cosa positiva ha salido de la pandemia de COVID-19, es la comprensión de que podemos trabajar de forma remota sin impactar negativamente en el rendimiento general de una organización. Las conexiones remotas para conferencias, correspondencia, colaboración y recopilación de datos ahora se han convertido en parte de «un día en la oficina». Por supuesto, no teníamos otra opción, y la mudanza vino con algunos riesgos de seguridad bastante únicos que no teníamos antes.

Son estos nuevos riesgos los que buscamos reducir y prevenir mediante el uso de un CASB. En este artículo te contamos qué es un CASB, sus características, usos y ejemplos de soluciones CASB.

¿Qué es un CASB?

El acrónimo CASB significa » agente de seguridad de acceso a la nube «. Puede ser una solución de software o hardware encargada de proteger los datos y la identidad, prevenir amenazas y ofrecer información sobre los riesgos involucrados en la conexión de una red a otras aplicaciones y dispositivos en la nube. Un CASB se puede implementar de forma local o remota para ejecutarse como un SaaS en la nube.

Gartner fue el primero en definir CASB en 2012 como “puntos de aplicación de políticas de seguridad en las instalaciones o basados ​​en la nube, ubicados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para combinar e intercalar políticas de seguridad empresarial a medida que se accede a los recursos basados ​​en la nube «.

Por lo general, un CASB se utiliza para analizar los flujos de datos y escanear documentos en la nube para detectar cualquier archivo o herramienta maliciosa escondida dentro de ellos. También se utiliza para obtener información y control granular de la información sobre el uso de datos en la nube.

Características estándar de un CASB

Un CASB debe tener al menos cuatro características básicas para que se le llame una solución inteligente. Estas características son:

  • Seguridad de los datos: debe monitorizar el acceso a los datos y compartirlos según las políticas de prevención de pérdidas vigentes. Esta seguridad se puede mejorar aún más con el etiquetado y el cifrado de datos para garantizar la privacidad y la integridad.
  • Protección frente amenazas: debe actuar como una línea de defensa contra las amenazas internas y externas que surgen de la actividad malintencionada de los usuarios, el malware y los servicios en la nube peligrosos o prohibidos. También debería:
    • Rastrear e identificar anomalías en el acceso y uso de datos
    • Registrar las pistas de auditoría para inspecciones e informes posteriores
    • Ayudar a definir nuevas políticas de acceso adaptativo o incluso sugerir acciones correctivas para fortalecer las existentes.
  • Visibilidad: además de identificar inmediatamente los servicios en la nube nuevos y actuales a los que se accede, un CASB debe evaluar los riesgos que implica acceder a ellos y utilizarlos. También debe estar atento a la TI de sombra
  • Cumplimiento: un CASB puede ser una herramienta útil cuando se intenta lograr el cumplimiento de las políticas de seguridad internas o los requisitos externos estándar de la industria, como HIPAA o SOX. Además de evaluar las configuraciones de seguridad actuales, también debería poder realizar aportaciones adicionales para mejorar los descuidos de seguridad, contribuyendo así a mantener el cumplimiento.

¿Cuáles son otras características de un buen CASB?

Aparte de las cuatro principales que acabamos de ver, hay algunas características más que contribuirían a crear una buena solución CASB.

Algunas de estas características incluyen:

  • Monitorización y auditoría del tráfico para medir la exposición general al riesgo en las aplicaciones utilizadas o a las que se accede dentro de la arquitectura.
  • Clasificación de cada aplicación descubierta de acuerdo con el riesgo que podría representar; ayudaría a determinar el nivel de riesgo acumulativo en toda la arquitectura. El análisis también se puede utilizar como trampolín para futuras acciones de mitigación de amenazas.
  • Las capacidades de escaneo rápido de datos, con tecnología de aprendizaje automático o respaldada por inteligencia artificial, evitan la pérdida de datos y, al mismo tiempo, brindan información detallada sobre los datos utilizados. Esto debe estar respaldado con informes en tiempo real sobre actividad maliciosa o acceso no autorizado (y uso compartido) de datos confidenciales a través de correos electrónicos, chat, intercambio de archivos, foros, capturas de pantalla u otros métodos.
  • Aplicación eficiente de las políticas de seguridad las 24 horas del día para detener las amenazas y evitar la pérdida de datos sin afectar el rendimiento de la red ni causar ningún deterioro de la experiencia del usuario en los puntos finales.
  • Capacidad para buscar dentro de la red (antivirus, etc.) para detectar actividad maliciosa, cuentas comprometidas o intentos de acceso no autorizados realizados por titulares de cuentas privilegiadas mientras trabajan con datos o aplicaciones internos y externos.
  • Ser capaz de integrarse fácilmente con la infraestructura de seguridad existente y todas las aplicaciones y herramientas de seguridad de terceros para un perímetro de seguridad optimizado y unificado. También debería estar preparado para el futuro y ser altamente escalable.
  • Capaz de cubrir la red de un extremo a otro y monitorizar pilas completas independientemente del método de conexión, ya sea en una arquitectura en la nube, local o híbrida.

Por supuesto, es necesario acceder a todas estas funciones y supervisarlas desde un único panel que sea completo, intuitivo, interactivo, que se pueda compartir (para la colaboración) y fácil de usar.

¿Qué hace un CASB?

El propósito principal del CASB es proteger los datos confidenciales de la organización contra robos, pérdidas o fugas. Los CASB llenan un vacío de seguridad creado por el cambio a la nube y una explosión de puntos finales. Las funciones principales de un CASB incluyen:

  • Datos de governanza:
    • Controla el uso de la nube de la organización con visibilidad granular y una amplia variedad de controles basados ​​en la identidad del usuario, el servicio, la aplicación, la actividad, la ubicación o el punto final.
    • Automatiza la gestión de las infracciones de la política de datos a través de una variedad de acciones, como bloquear, anular, alertar, cifrar o poner en cuarentena.
    • Proporciona al equipo de TI un resumen de las acciones tomadas en respuesta a violaciones de políticas.
  • Seguridad de datos:
    • Protege y evita el robo, la pérdida o la filtración de datos en todos los servicios y aplicaciones en la nube mediante cifrado, tokenización u otras técnicas.
    • Establece herramientas y procesos de prevención de pérdida de datos (DLP) para los datos en uso, en movimiento o en reposo desde cualquier servicio o aplicación en la nube hasta cualquier punto final.
    • Supervisa de forma proactiva el entorno de seguridad en la nube para detectar infracciones de políticas
    • Integra CASB dentro de la estrategia de seguridad y la arquitectura de seguridad más amplias
  • Protección contra amenazas:
    • Establece visibilidad y control total sobre todos los datos organizacionales en todos los servicios en la nube.
    • Identifica y aísla las amenazas basadas en la nube, incluidos el malware y el ransomware
    • Aprovecha la inteligencia artificial (IA), el aprendizaje automático (ML) y otras herramientas de automatización inteligente para detectar comportamientos anómalos, así como amenazas como ransomware y malware.
    • Desarrollar continuamente el CASB para responder al panorama de amenazas en constante cambio y garantizar una protección continua contra amenazas.
    • Avisa al equipo de seguridad de la nube sobre cualquier amenaza activa o actividad anómala.

Usos de un CASB en escenarios de la vida real

Después de observar las características que hacen que un CASB sea excelente, ahora podemos continuar para ver cómo se pueden aplicar en una red:

  • Un CASB puede descubrir los servicios que se ejecutan en una plataforma en la nube y evaluar los riesgos individuales a nivel de aplicación. Luego, puede bloquear las conexiones a aplicaciones sospechosas o prohibidas en lugar de negar completamente el acceso a la plataforma.
  • Un CASB puede servir como una barrera de protección de datos para los sitios web y los servicios en la nube de una organización. Puede manejar la seguridad y el cumplimiento del acceso y uso de SaaS, IaaS y PaaS. Luego, según los requisitos, los administradores pueden crear una política primordial o tantos procedimientos como sea necesario para garantizar el cumplimiento.
  • Los administradores también pueden evitar que se transfieran datos confidenciales desde o hacia aplicaciones en la nube no administradas, dejar de acceder a servicios específicos comprometidos y evitar descargar o cargar información confidencial. Pueden, por ejemplo, bloquear a los empleados para que no envíen correos electrónicos de la empresa que contengan datos confidenciales a su personal (externo) o evitar la copia de datos de una plataforma en la nube autorizada a una no autorizada.
  • Las organizaciones pueden mantenerse al tanto de los requisitos y estándares de cumplimiento de su industria mediante el uso de un CASB para realizar un seguimiento de sus niveles de seguridad de datos, controles de acceso y cifrado de datos en movimiento y en reposo, y también obtener informes personalizables predefinidos para ser consumidos por tanto las partes interesadas locales como los auditores externos.

Un CASB en la infraestructura de red

Profundicemos un poco más y echemos un vistazo al CASB en sí.

Localización

Hay un par de formas y lugares en los que se puede ejecutar un CASB o colocarlo en una red. Primero, debe ubicarse entre los usuarios finales y la nube.

Pero, físicamente, puede ubicarse en la nube (si es un SaaS en sí, por ejemplo) o instalarse localmente en un centro de datos corporativo alojándolo en un servidor físico o virtual.

Configuración

Hay tres formas de configurar un CASB. Primero, se puede configurar como:

  • Un proxy de reenvío: este CASB se encuentra entre los usuarios y los servicios en la nube y monitoriza los datos que pasan a través del proxy. Si hay un inconveniente en esta configuración que, por lo demás, es simple, sería la necesidad de instalar certificados autofirmados en todos los dispositivos que utilizan el proxy. Esto puede resultar complicado en los casos en los que hay muchos dispositivos remotos, una configuración de red híbrida o una gran cantidad de BYOD.
  • Un proxy inverso: aquí también se utiliza un proxy, pero monitoriza el tráfico que intenta acceder a los servidores. Aunque esta es una opción muy accesible y no requiere certificados o configuraciones especiales, podría plantear un problema cuando las aplicaciones que tienen sus nombres de host codificados en ellas requieren la comunicación cliente-servidor.
  • Basado en API: esta es posiblemente la mejor solución, ya que CASB se ejecuta como una herramienta fuera de banda que se integra directamente con los servicios en la nube y no sigue la misma ruta de red que los datos a los que se accede desde los proveedores de servicios en la nube. Es ideal porque no se produce ninguna degradación del rendimiento a medida que los usuarios acceden sin problemas a sus datos.

Por supuesto, también es posible configurarlos para que se ejecuten en modo mixto, como proxies directos e inversos, y en una configuración multimodal en la que sirve como tecnología de seguridad basada en API y como proxy.

Ejemplos de soluciones CASB

Bien, ahora es el momento de echar un vistazo a algunas de las soluciones CASB que realmente pueden ayudar a proteger los datos y las redes. Son:

1. Netskope

Con Netskope, tenemos una de las soluciones CASB líderes en el mercado actual.

Veamos las características que han contribuido a esta excelencia:

  • Netskope puede administrar el movimiento no autorizado de datos confidenciales entre instancias de aplicaciones en la nube mientras optimiza los flujos de trabajo de seguridad con controles de políticas intuitivos similares. Puede evitar que los datos personales se envíen a direcciones de correo electrónico externas.
  • Esta solución CASB ayuda a los administradores a identificar y administrar rápidamente el uso de sus aplicaciones en la nube, independientemente de si son soluciones administradas o no administradas.
  • Evita la pérdida de datos, debido a amenazas tanto dentro como fuera de la red, al permitir que los administradores establezcan políticas de seguridad granulares y obtengan visibilidad de los niveles generales de vulnerabilidad de sus organizaciones.
  • Está diseñado para proteger servicios en la nube estándar como Microsoft 365, Google Workspace, Box y AWS. Proporciona seguridad integral en todos estos servicios en la nube para proteger contra amenazas y malware.
  • La seguridad de este CASB está respaldada por 40 fuentes de inteligencia de amenazas que ayudan a identificar sitios maliciosos, detectar comportamientos anormales del usuario y proteger contra el malware basado en la nube.
  • Los administradores pueden establecer sus propias políticas de protección de pérdida de datos personalizables que incluyen controles de acceso basados ​​en roles (RBAC) que se pueden hacer cumplir en todas las aplicaciones en la nube.
  • Aunque Netskope se puede implementar como SaaS, el producto también está disponible como un dispositivo local y una herramienta híbrida.

2. McAfee MVISION Cloud

McAfee MVISION Cloud es un CASB fabricado por uno de los principales fabricantes de software antivirus y de seguridad informática. Es una solución nativa de la nube que protege los datos que residen en la nube.

MVISION Cloud tiene algunas características excelentes:

  • Cubre toda la pila y ofrece información sobre los datos, el contexto y la actividad del usuario en todas las aplicaciones y dispositivos que tiene que cubrir.
  • Al ser una solución nativa de la nube, MVISION puede proteger los datos en ese ámbito con facilidad. Aún así, también puede cruzar a la red local en las instalaciones y mantener los datos confidenciales protegidos sin comprometer el rendimiento allí también.
  • Se puede configurar para hacer cumplir las políticas de prevención de pérdida de datos ( DLP ), evitar el acceso no autorizado a los datos, detectar cuentas comprometidas e incluso señalar violaciones de políticas.
  • Todas estas políticas y configuraciones se gestionan y supervisan desde un único panel que ofrece una visión profunda de las aplicaciones en la nube, políticas de protección de datos granulares y es altamente personalizable para adaptarse a configuraciones de red únicas.
  • Viene con el perfil de riesgo de más de 30.000 servicios en la nube, lo que facilita la seguridad incluso al acceder a aplicaciones y servicios de terceros desconocidos.
  • MVISION funciona como un proxy de reenvío para una mejor seguridad web, ofrece cifrado de datos y ayuda a prevenir los servicios de Shadow IT.
  • Se puede configurar para evitar que los usuarios transfieran datos confidenciales a sus dispositivos personales o no administrados y accedan a servicios en la nube prohibidos.
  • También se puede ampliar para detectar errores de configuración o vulnerabilidades en servicios de nube populares como GCP, Azure y AWS; incluso los contenedores se pueden monitorizar en tiempo real.

3. Bitglass Cloud Access Security Broker

Bitglass es otro actor importante en el mercado CASB. Su producto, denominado «Bitglass Cloud Access Security Broker», permite a las organizaciones trabajar con aplicaciones y servicios en la nube sin comprometer su seguridad. Esta herramienta se puede configurar para aplicar políticas que protejan cualquier dispositivo que necesite acceder a datos en la nube.

Hay más:

  • Esta herramienta se puede utilizar para proteger dispositivos y aplicaciones administrados y no administrados de la pérdida de datos y las amenazas de malware. Su arquitectura de proxy multiprotocolo y su plataforma Zero-Day Core la convierten en la solución de seguridad en la nube ideal.
  • También aprovecha otra tecnología interna, pendiente de patente, para garantizar la resistencia de las aplicaciones mediante AJAX-VM para las capacidades de proxy inverso sin agentes.
  • Se puede configurar para que funcione en registros de firewall y proxy que pueden servir como entrada para la toma de decisiones y acciones en cualquier aplicación en la nube utilizada en la organización. Los administradores pueden bloquear o permitir el acceso de solo lectura a ellos según los resultados de sus análisis.
  • La herramienta incluso identifica nuevas aplicaciones y aprende rápidamente cualquier comportamiento comprometido o filtración de datos mediante el aprendizaje automático. Este análisis se puede utilizar para configuraciones de coaching, bloqueo o control de día cero.
  • Tiene motores de control de acceso y DLP que pueden identificar y controlar el contexto de los datos a los que se accede, así como las aplicaciones que acceden. Este control de acceso contextual toma en consideración aspectos como ubicaciones, grupos de usuarios, métodos de acceso, horarios y si los dispositivos se administran o no antes de decidir el nivel de acceso que se otorgará.
  • También puede brindar información detallada sobre los propios usuarios a medida que recopila datos de autenticación, actividad sospechosa y otra información relacionada para aumentar la visibilidad y reducir los riesgos.
  • Un panel de control central controla todos los análisis y comentarios y ofrece informes detallados para una respuesta y acciones rápidas. La herramienta también tiene una API REST que puede integrarse en algunas de las mejores herramientas SIEM o en los flujos de trabajo de cualquier otra herramienta de seguridad existente.
  • La herramienta también tiene características únicas como administración de identidad, integración de Microsoft AD, autenticación multifactor (MFA) y más. Esto elimina la necesidad de herramientas de administración de acceso e identidad (IAM) de terceros.
  • Bitglass tiene un índice de más de 100,000 aplicaciones, cada una de las cuales está clasificada por reputación y riesgo de seguridad, que se actualiza continuamente mediante la tecnología de aprendizaje automático.

4. Cisco Cloudlock

Cisco es un nombre que es sinónimo de seguridad de red. No debería sorprendernos entonces que también ofrezcan una de las mejores herramientas CASB que existen: Cisco Cloudlock.

Este CASB lo tiene todo: es nativo de la nube y protege todo en la nube: usuarios, datos y aplicaciones.

Estas son algunas de sus características:

  • Es una herramienta simple que está ajustada para prevenir violaciones de datos y lograr el cumplimiento mediante el uso de API para monitorizar el acceso y el uso de los ecosistemas de aplicaciones en la nube.
  • Tiene una tecnología avanzada de aprendizaje automático para detectar anomalías utilizando numerosas variables de entrada como ubicaciones, usuarios, cuentas e incluso velocidades de acceso.
  • Supervisa todo el entorno de la nube mientras trabaja para detener la pérdida de datos, rastrea el movimiento de información confidencial y también ayuda a desarrollar una estrategia de política de seguridad. De hecho, Cloudlock viene con sus políticas listas para usar que también se pueden personalizar para cumplir con requisitos únicos.
  • La herramienta también viene con Cloudlock Apps Firewall, un firewall que descubre y monitoriza las aplicaciones conectadas a la red y las califica de acuerdo con el riesgo que pueden representar. Luego pueden bloquearse en función de los resultados del análisis de evaluación de riesgos.
  • La organización puede realizar un seguimiento de los datos de la nube a los que sus usuarios acceden, almacenan o se mueven a medida que avanzan en sus horarios de trabajo diarios. Y no es solo para asegurarse de que los usuarios cumplan con las políticas, sino también para capacitar al sistema de aprendizaje automático a medida que detecta anomalías de comportamiento.
  • Los administradores siempre tendrán una visión clara de cada aplicación o proveedor de software. Además, la herramienta actualiza continuamente sus capacidades de evaluación de riesgos, lo que garantiza que todos estén seguros incluso cuando se agregan nuevas aplicaciones.
  • Finalmente, quizás lo mejor de usar esta herramienta puede ser que, aunque es una solución independiente, ha sido diseñada para integrarse a la perfección con la amplia gama de herramientas de seguridad de Cisco, especialmente Cisco Umbrella, su plataforma insignia de seguridad web. Esto garantiza una cobertura de seguridad de un extremo a otro sin la molestia de utilizar soluciones de terceros para cerrar las brechas.

Consideración final sobre cuándo usar un CASB

La computación en la nube es el futuro. La pandemia de COVID 19 por sí sola ha aprendido que de hecho es una forma eficiente de trabajar, aunque hay escépticos que todavía piensan que la oficina es el mejor entorno de trabajo.

Independientemente, continuaremos accediendo y utilizando un número cada vez mayor de aplicaciones de productividad en la nube, lo que significa que eventualmente todos necesitaremos la protección de un CASB. Esto es especialmente cierto para organizaciones más grandes.